Cómo monitorear el tráfico de red en Linux

Table of Contents

Monitorear el tráfico de red ayuda a que tus sistemas informáticos funcionen de forma rápida, eficiente y segura aplicando los conocimientos extraídos por las herramientas de monitoreo. Un seguimiento de red eficaz proporciona a los equipos de TI los datos necesarios para evitar el tiempo de inactividad de la red, superar los cuellos de botella del rendimiento de la red y mitigar las diversas amenazas de seguridad de las conexiones entrantes.

En este artículo, discutiremos cómo observar el tráfico de red en sistemas Linux. Dado que los servidores Linux se utilizan ampliamente para alojar aplicaciones y administrar redes, la mayoría de las herramientas de monitoreo de redes están diseñadas específicamente para sistemas operativos Linux. Discutiremos las herramientas clave de interfaz de línea de comandos (CLI) que vigilan el tráfico de red de manera eficiente en Linux y mostraremos varios escenarios en los que se pueden usar.

Importancia de monitorear el tráfico de red en Linux

La mayoría de las aplicaciones modernas están expuestas a varios servicios de red remotos a través de procesos en segundo plano de extracción de datos, notificaciones emergentes y conexiones de socket web. Esto significa que tus hosts reciben constantemente tráfico de diversas fuentes. Esto aplica especialmente a los sistemas Linux, que son ampliamente utilizados como servidores de producción para alojar aplicaciones y administrar redes. Por lo tanto, comprender el tráfico de red es un requisito previo clave para que tus servidores y aplicaciones Linux funcionen sin problemas.

A continuación se muestra cómo las herramientas de monitoreo del tráfico de red eficaces pueden ayudar a los equipos de TI:

  • Garantizar una visibilidad completa y en tiempo real del tráfico de red: las herramientas de seguimiento de red recopilan estadísticas de red en tiempo real. Estas pueden proporcionarte información sobre el estado de tu red. Los datos de tráfico de red se pueden visualizar e integrar con alertas, logs y sistemas de auditoría para aumentar la eficiencia con la que tu equipo de TI maneja los problemas de rendimiento y seguridad de la red.
  • Detectar errores de configuración de red: detectar patrones de uso de tráfico puede ayudar a identificar configuraciones incorrectas en los niveles de red y aplicación. Pongamos un ejemplo. Si la aplicación está configurada para realizar trabajos en segundo plano con un uso intensivo de tráfico adicional, esta función se puede desactivar para liberar ancho de banda para otras aplicaciones.
  • Solucionar problemas de red: un sistema de vigilancia de red eficiente puede ayudar a identificar y solucionar problemas relacionados con la red. Estos pueden incluir desconexiones, puertos cerrados y configuraciones incorrectas del firewall.
  • Supervisar anomalías de seguridad: los picos de tráfico que se originan en hosts remotos pueden indicar el inicio de ataques DDoS contra tus servidores. Las herramientas de monitoreo de red pueden ayudar a identificar patrones de flujo de tráfico en tus servidores y ayudar a tu equipo a responder rápidamente a las anomalías.
  • Facilitar la planificación de la capacidad y la distribución de recursos: el seguimiento del tráfico de red también puede ayudar a identificar aplicaciones con recursos insuficientes o un consumo excesivo de recursos. Esta información se puede utilizar para distribuir mejor los recursos.

Cómo observar la actividad de la red en Linux

El monitoreo del tráfico de red es un componente crucial de la administración de sistemas Linux. Requiere un enfoque sistemático basado en la identificación clara de las metas, los objetivos de rendimiento y el cumplimiento de los estándares de seguridad. Un sistema de monitoreo de red eficaz en servidores Linux debe basarse en tres capas interconectadas: estado general de la red, tráfico entrante y tráfico saliente.

Estado general de la red

Comprender el estado general de la red, incluido el tráfico de red a nivel de interfaz y dispositivo, puede proporcionarte información sobre el rendimiento de la red y la seguridad de tu sistema. Por ejemplo, cerrar los puertos no utilizados o restringir el acceso de los puertos a una lista de IP conocidas puede ayudar a reducir posibles vectores de ataque en tus sistemas Linux.

Tráfico entrante

Vigilar el tráfico entrante puede ayudar a frustrar los ataques de red y mantener la seguridad de tus servidores (o sistemas) Linux. Por ejemplo, las herramientas de monitoreo del tráfico de red pueden ayudar a identificar las conexiones que envían cantidades anormales de tráfico al host. Esto puede ser útil para mitigar ataques DDoS o encontrar malware instalado localmente.

Tráfico saliente

Otra métrica importante que debes monitorear es la utilización del ancho de banda por procesos individuales en tu sistema. Es útil saber qué aplicaciones consumen más y menos ancho de banda. Con esa información, puedes detener los procesos que consumen un gran volumen de tráfico sin tener que estar activo y/o redistribuir los recursos de red a las aplicaciones que experimentan problemas.

Además de la utilización del ancho de banda, el seguimiento del tráfico de red se debe integrar con la visualización de datos, el análisis de datos y los sistemas de alerta para agilizar la resolución de problemas de red una vez se detectan.

Herramientas de monitoreo de red

Las herramientas para observar el tráfico de red en un sistema Linux pueden ayudar a los administradores de sistemas a alcanzar los objetivos mencionados. Por lo general se trata de herramientas ligeras de línea de comando que muestran el tráfico entrante y saliente, las conexiones de red establecidas, y las estadísticas generales de la red. Algunas herramientas están diseñadas para recopilar estadísticas de tráfico de red a nivel de interfaz y dispositivo. Otras te permiten evaluar el tráfico de red a nivel de aplicación.

Ahora discutiremos las funciones básicas que ofrecen las herramientas más populares: NetFlow, NetHogs, nload, netstat e iftp.

NetFlow

NetFlow permite recopilar metadatos de tráfico a medida que fluyen a través de un dispositivo (o interfaz). Aunque se pueden ver los datos de NetFlow a través de un terminal, es difícil analizarlos todos en una CLI. Las herramientas de seguimiento de red como Site24x7 facilitan la recopilación de metadatos y los presentan en un formato comprensible en un dashboard de monitoreo de red. Este proporciona una visibilidad completa de tu red con estadísticas sobre los picos de tráfico, los aumentos en los volúmenes de tráfico, el tráfico de aplicaciones e interfaces, y las conversaciones que acaparan el ancho de banda. Con esta herramienta, también puedes analizar flujos basados en diferentes tecnologías. Estas incluyen J-Flow, sFlow, IPFIX, NetStream, AppFlow, y CFlow.

NetHogs

NetHogs permite agrupar el consumo de ancho de banda por un proceso individual (identificador de proceso). Esta funcionalidad distingue a NetHogs de la mayoría de las otras herramientas de red de Linux que agrupan el tráfico por protocolo, interfaz o subred. Agrupar el tráfico por proceso hace que NetHogs sea útil para identificar las causas de los picos de tráfico repentinos. Si tu sistema Linux experimenta una actividad de tráfico anormal, NetHogs puede ayudar a identificar inmediatamente el proceso o los procesos que están causando la actividad anormal.

Fig. 1: Nethogs in the Linux terminal Fig. 1: Nethogs en el terminal Linux

nload

Nload es otra herramienta de vigilancia de redes basada en consola para Linux. Proporciona información sobre el tráfico entrante y saliente, el uso mínimo y máximo de la red, y el volumen de datos transferidos. Su principal ventaja es la visualización del tráfico entrante y saliente directamente en la consola. A diferencia de NetHogs, nload no proporciona información sobre el ancho de banda de la red por PID. Esto limita sus capacidades.

Fig. 2: Traffic data visualization in nload Fig. 2: visualización de datos de tráfico en nload

netstat

Otra herramienta popular de monitoreo de red basada en CLI es netstat. Muestra las conexiones de red entrantes y salientes para los protocolos TCP y UDP. Los datos que recopila están organizados por el nombre del protocolo, la dirección local, la dirección externa y el estado de conexión (ESTABLECIDO y CERRADO_EN ESPERA, entre otros). Además, netstat proporciona información sobre tablas de enrutamiento, interfaces de red y estadísticas de protocolo de red. Ofrece opciones para filtrar conexiones basadas en atributos. Por ejemplo, netstat puede informar de la cantidad total de bytes enviados y recibidos (-b, -i); proporcionar estadísticas de ethernet (-e), incluyendo los paquetes; filtrar por tipo de conexión; y mostrar estadísticas generales de red.

iftop

iftop, que significa interfaz superior, te permite mostrar el uso del ancho de banda de red en tiempo real por la interfaz de red y la conexión o el host. Con esta herramienta, puedes identificar los hosts remotos que ralentizan la red y el ancho de banda de red para cada interfaz disponible: ethernet, redes definidas por software, redes inalámbricas y más.

Aunque iftop no muestra el tráfico de red por proceso como lo hace NetHogs, puedes superar fácilmente esta limitación. Por ejemplo, puedes anotar el número de puerto de iftop y usar netstat -p para identificar el proceso.

Fig. 3: List of remote connections in iftop Fig. 3: lista de conexiones remotas en iftop
Was this article helpful?
Supervise su entorno Linux

Verifique el estado y la disponibilidad de sus servidores Linux para obtener un rendimiento óptimo con la herramienta de monitoreo de Linux de Site24x7.

Write For Us

Write for Site24x7 is a special writing program that supports writers who create content for Site24x7 "Learn" portal. Get paid for your writing.

Write For Us

Write for Site24x7 is a special writing program that supports writers who create content for Site24x7 “Learn” portal. Get paid for your writing.

Apply Now
Write For Us